跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
如何在 Trusted Extensions 中配置 IPv6 CIPSO 网络
如何在 Trusted Extensions 中创建 "Security Administrator"(安全管理员)角色
如何创建 "System Administrator"(系统管理员)角色
如何在 Trusted Extensions 中创建可以承担角色的用户
如何检验 Trusted Extensions 角色是否有效
在 Trusted Extensions 中创建集中起始目录
如何在 Trusted Extensions 中创建起始目录服务器
如何让用户登录每个 NFS 服务器来访问每个标签下的远程起始目录
如何通过在每个服务器上配置自动挂载程序来使用户能够访问其远程起始目录
如何在 Trusted Extensions 中将文件复制到便携介质
如何在 Trusted Extensions 中从便携介质复制文件
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
您的 Trusted Extensions 系统具有直接连接的位映射显示屏幕(如手提电脑或工作站)时,不需要网络就可运行桌面。但是,需要进行网络配置才能与其他系统进行通信。通过使用 txzonemgr GUI,可以轻松配置有标签区域和全局区域以连接到其他系统。有关有标签区域的配置选项的说明,请参见访问有标签区域。以下任务列表介绍了网络配置任务,并提供了指向这些任务的链接。
|
通过此过程,系统中的每个区域可以使用一个 IP 地址(即全局区域的 IP 地址),以访问其他有相同标签的区域或主机。此配置是缺省配置。如果以不同方式配置了网络接口,并希望将系统恢复为缺省网络配置,则必须完成此过程。
开始之前
您必须在全局区域中承担 root 角色。
# txzonemgr &
此时将在 "Labeled Zone Manager"(有标签区域管理器)中显示区域列表。有关此 GUI 的信息,请参见如何以交互方式创建有标签区域。
此时将显示接口列表。查找列有以下特征的接口:
类型为 phys
您的主机名对应的 IP 地址
状态为 up
所有区域均可使用此共享 IP 地址与相应标签下的远程系统进行通信。
接下来的步骤
要配置系统的外部网络,请转至如何将 Trusted Extensions 系统连接到其他 Trusted Extensions 系统。
如果使用共享 IP 栈和每区域地址,且计划将有标签区域连接到网络上其他系统中的有标签区域,需要执行此过程。
在此过程中,将为一个或多个有标签区域创建 IP 实例(即,每区域地址)。有标签区域使用其每区域地址与网络上有相同标签的区域进行通信。
开始之前
您必须在全局区域中承担 root 角色。
此时将在 "Labeled Zone Manager"(有标签区域管理器)中显示区域列表。要打开此 GUI,请参见如何以交互方式创建有标签区域。必须停止要配置的有标签区域。
此时将显示配置选项列表。
例如,键入 192.168.1.2/24。如果不附加前缀计数,系统将提示您输入网络掩码。针对此示例的等效网络掩码为 255.255.255.0。
在出现提示时,键入路由器的 IP 地址,然后单击 "OK"(确定)。
注 - 要删除或修改缺省路由器,请删除该项,然后重新创建 IP 实例。
接下来的步骤
要配置系统的外部网络,请转至如何将 Trusted Extensions 系统连接到其他 Trusted Extensions 系统。
如果使用专用 IP 栈和每区域地址,且计划将有标签区域连接到网络上其他系统中的有标签区域,需要执行此过程。
在此过程中,将创建 VNIC 并将其指定给有标签区域。
开始之前
您必须在全局区域中承担 root 角色。
此时将在 "Labeled Zone Manager"(有标签区域管理器)中显示区域列表。要打开此 GUI,请参见如何以交互方式创建有标签区域。必须停止要配置的有标签区域。
此时将显示配置选项列表。
如果您的系统有多个 VNIC 卡,将显示多个选项。选择具有所需接口的项。
例如,键入 192.168.1.2/24。如果不附加前缀计数,系统将提示您输入网络掩码。针对此示例的等效网络掩码为 255.255.255.0。
在出现提示时,键入路由器的 IP 地址,然后单击 "OK"(确定)。
注 - 要删除或修改缺省路由器,请删除该项,然后重新创建 VNIC。
此时将显示 VNIC 项。系统指定了 zonename_n 名称,如 internal_0。
接下来的步骤
要配置系统的外部网络,请转至如何将 Trusted Extensions 系统连接到其他 Trusted Extensions 系统。
在此过程中,将通过添加 Trusted Extensions 系统可以连接到的远程主机来定义 Trusted Extensions 网络。
开始之前
将显示 "Labeled Zone Manager"(有标签区域管理器)。要打开此 GUI,请参见如何以交互方式创建有标签区域。您是全局区域中的 root 角色。
另请参见
此操作过程可在每个有标签区域中配置单独的名称服务守护进程 (nscd )。此配置支持满足以下条件的环境:其中的每个区域都连接到一个以区域的标签运行的子网,并且该子网拥有自己的用于该标签的命名服务器。在有标签区域中,如果您打算安装需要使用该标签的用户帐户的软件包,可能需要针对每个区域配置单独的名称服务。有关背景信息,请参见限制到有标签区域的应用程序和在 Trusted Extensions 中创建用户之前要做的决策。
开始之前
将显示 "Labeled Zone Manager"(有标签区域管理器)。要打开此 GUI,请参见如何以交互方式创建有标签区域。您是全局区域中的 root 角色。
注 - 此选项规定为在初始系统配置过程中使用一次。
有关帮助,请参见 nscd(1M) 手册页。
# /usr/sbin/reboot
重新引导后,将在每个区域中为承担 root 角色在步骤 1 中运行 "Labeled Zone Manager"(有标签区域管理器)的用户配置帐户。其他特定于有标签区域的帐户必须手动添加到区域中。
注 - 仍从全局区域管理 LDAP 系统信息库中存储的帐户。
zone-name # svcs -x name-service/cache svc:/system/name-service/cache:default (name service cache) State: online since September 10, 2012 10:10:12 AM PDT See: nscd(1M) See: /var/svc/log/system-name-service-cache:default.log Impact: None.
zone-name # netstat -rn
示例 4-3 从每个有标签区域中删除名称服务高速缓存
针对每个区域测试一个名称服务守护进程之后,系统管理员决定从有标签区域中删除名称服务守护进程,仅在全局区域中运行守护进程。要将系统恢复为缺省名称服务配置,管理员将打开 txzonemgr GUI,选择全局区域,再选择 Unconfigure per-zone name service(取消配置每区域名称服务),然后选择 OK(确定)。此选择将删除每个有标签区域中的 nscd 守护进程。之后,管理员重新引导系统。
接下来的步骤
为每个区域配置用户和角色帐户时,您有三个选项。
可以在多级别 LDAP 目录服务器中创建 LDAP 帐户。
可以在单独的 LDAP 目录服务器(每个标签一个服务器)中创建 LDAP 帐户。
可以创建本地帐户。
在每个有标签区域中单独配置名称服务守护进程意味着所有用户都需要输入口令。用户必须对自身进行验证以获取对其任一有标签区域(包括与其缺省标签对应的区域)的访问权限。此外,管理员必须在每个区域中本地创建帐户,或者帐户必须存在于区域为 LDAP 客户机的 LDAP 目录中。
在全局区域中的帐户运行 "Labeled Zone Manager"(有标签区域管理器)txzonemgr 的特殊情况下,帐户的信息将复制到有标签区域,以便至少此帐户能够登录到每个区域。缺省情况下,此帐户为初始用户帐户。